La Comisión Europea prepara una norma para protegerse frente a la amenaza creciente que supone para la ciberseguridad la proliferación de dispositivos conectados en el hogar, como electrodomésticos, juguetes y domótica, obligando a cerrar puertos no necesarios y usar credenciales robustos.
Proliferación de objetos conectados con seguridad deficiente
IoT (Internet Of Things) es un fenómeno en plena ebullición donde hasta los elementos más sencillos y aparentemente inofensivos, como un juguete, son capaces de conectarse por wifi a internet. Bombillas domóticas, termostatos, videoporteros, cámaras, vigilabebes, robot aspiradores, juguetes inteligentes, routers y un sinfín de dispositivos se conectan a la red para recibir instrucciones desde la nube del fabricante y poder ser controlados remotamente, como desde una app en el móvil.
En muchos casos se trata de productos de bajo coste en los que se ha invertido muy pocos recursos en el desarrollo del software que los hace funcionar, por lo que es frecuente que su seguridad sea muy deficiente y cuenten con vulnerabilidades que nunca se parchean.
Este tipo de dispositivos son el objetivo de los cada vez más habituales ciberataques en los que en una primera fase se aprovecha alguna vulnerabilidad conocida o el uso de los credenciales por defecto para hacerse con el control remoto del dispositivo. Sin que su propietario se dé cuenta, el dispositivo permanece entonces en reposo esperando órdenes del atacante, pasando a formar parte de un enjambre de nodos haciendo peticiones masivas contra un objetivo, por ejemplo dentro de un ataque de denegación distribuido (DDoS).
Nueva Ley Europea de Ciberresiliencia
Europa quiere poner freno a los bajos estándares de calidad del software que gobierna los dispositivos IoT de bajo coste dentro de la Ley Europea de Ciberresiliencia1 prevista para el último trimestre del año.
La nueva regulación obligará a los fabricantes a pasar test de conformidad relacionados con la ciberseguridad para poder lucir el marcado CE que permite que sean comercializados en Europa. Estas pruebas confirmarán que el dispositivo cumple con una serie de medidas de seguridad, como el uso de credenciales robustos y el cierre de puertos no necesarios para el funcionamiento. La seguridad del dispositivo tendrá que garantizarse además durante todo su ciclo de vida, lo que obligará al fabricante a seguir lanzando actualizaciones de seguridad a medida que se descubran nuevas vulnerabilidades.
Conoce más aquí
